Поделиться
Возвращение PipeMagic: новая активность бэкдора в Саудовской Аравии и Бразилии
«Лаборатория Касперского» и BI.Zone совместно исследовали активность бэкдора PipeMagic. «Лаборатория Касперского», которая с 2022 г. отслеживает развитие этого вредоноса, выявила ключевые изменения в тактиках его операторов. BI.Zone провела технический анализ уязвимости CVE-2025-29824, которую злоумышленники использовали в кибератаках. Об этом CNews сообщили представители BI.Zone.
Первые случаи применения бэкдора PipeMagic зафиксированы в декабре 2022 г. против азиатских компаний. В конце 2024 г. он атаковал организации в Саудовской Аравии. В 2025 г. эксперты Глобального центра исследований и анализа угроз (GReAT) «Лаборатории Касперского» и специалисты BI.Zone зарегистрировали новую активность вредоноса.
Исследователи отмечают, что злоумышленники сохранили интерес к саудовским организациям, а также распространили атаки на новые регионы, в частности на производственные компании в Бразилии. Эксперты отследили эволюцию PipeMagic, выявили ключевые изменения в тактиках злоумышленников и провели технический анализ CVE-2025-29824. Это одна из 121 уязвимостей, которые Microsoft исправила в апреле 2025 г., но при этом единственная, которую злоумышленники активно использовали в кибератаках.
Брешь эксплуатировалась для повышения привилегий в операционной системе Windows до уровня локального администратора, а затем кражи учетных данных пользователей и шифрования файлов в скомпрометированной системе. Это стало возможно из-за ошибки в драйвере логирования clfs.sys. Кроме того, в ходе одной из кибератак 2025 г. злоумышленники использовали индексный файл справки Microsoft, который может применяться как для дешифрования, так и для исполнения шелл-кода.
Исследователи также обнаружили новые версии загрузчика PipeMagic, замаскированного под приложение ChatGPT. Похожее вредоносное ПО было замечено в кибератаках на организации в Саудовской Аравии в 2024 г.
Леонид Безвершенко, старший эксперт по кибербезопасности в Kaspersky GReAT: «Новая кампания с использованием PipeMagic подтверждает, что злоумышленники продолжают активно использовать и дорабатывать это ВПО. В версию 2024 г. внесли изменения, которые позволяют атакующим закрепляться в инфраструктуре жертвы, а также упрощают им горизонтальное перемещение в скомпрометированных сетях».
Павел Блинников, руководитель группы исследования уязвимостей, BI.Zone: «За последние несколько лет драйвер clfs.sys стал популярной целью у киберпреступников, особенно у тех, чья цель — финансовая выгода. Все чаще в ходу эксплоиты нулевого дня: не только для clfs.sys, но и для других драйверов. Основная цель — повысить привилегии и скрыть следы проникновения. Для защиты мы рекомендуем использовать EDR-решения. Они позволяют обнаружить злоумышленников на ранних этапах атаки и при постэксплуатации».
«Лаборатория Касперского» впервые обнаружила бэкдор PipeMagic в 2022 г. в ходе исследования кампании с использованием RansomExx, нацеленной на промышленные организации Юго-Восточной Азии. Злоумышленники воспользовались уязвимостью CVE-2017-0144, чтобы получить доступ к внутренней инфраструктуре целевых организаций. Бэкдор может применяться как полноценный инструмент для удаленного доступа или как прокси-сервер, позволяющий исполнять широкий спектр команд.
Поделиться
Короткая ссылка
